close

Enter

Log in using OpenID

(2) (Trusted Application Service Providers他)

embedDownload
PKI Day 2015
トラストリストと信頼のグローバル化
- 日本版トラストリストの実現に向けて 2015. 4. 10
セイコーソリューションズ株式会社
村尾 進一
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会
AGENDA
1.はじめに
1-1.EUの取り組み
2.トラストリストの解説
2-1.トラストリストとは
2-2.トラストリストの活用事例
3.日本における信頼基盤としてのトラストリストの可能性
3-1.証明書検証の現状
3-2.トラストリスト導入によるBefore/After
3-3.トラストリストのもたらす効果
4.まとめ
4-1.トラストリスト導入に向けた課題
4-2.最後に
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
2
1-1.EUの取り組み
①eIDAS規則について
②eIDAS規則でのTL設置規定
③新フレームワーク
④トラストサービス(一覧)
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
3
①eIDAS規則について
・eIDAS(Electronic identification and trust services)規則
REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014
on electronic identification and trust services for electronic transactions
in the internal market and repealing Directive 1999/93/EC
・ EU電子署名指令(Directive 1999/93/EC)に替わる、
EUで定めた電子認証や電子署名を含めたトラストサービス
に関する規則(Regulation(EU) No 910/2014)。
・電子認証やトラストサービスを普及させることで、
国境を越えた電子取引を安全かつシームレスに
実現させることが目的。
・トラストサービスとは、「(通常、必ずしもそうとは限らないが、
暗号技術を利用し、または機密情報を扱う、)
電子取引の安心と信頼を強化する電子サービスの総称」。
ETSI TS 119 612 V1.2.1(2014-04)の用語定義より
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
4
②eIDAS規則でのTL設置規定(Article22)
Official Journal of the European Union 28.8.2014 から抜粋
①EU加盟各国に対して、トラストリストの制定を義務付け
②リストの非改ざん性保証対策を義務付け
③内容変更の、遅滞のないEU委員会への通知を義務付け
④更新情報の公開(LOTL)を、EU委員会に対して義務付け
⑤技術規格とリストのフォーマットの制定をEU委員会に義務付け(済)
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
5
③新フレームワーク
ETSI , CEN, ETSI SR 001 604 「Rationalised Framework for Electronic Signature Standardisation」より
Trust Service Status List Providers
【信頼サービスリストプロバイダ】
TSP supporting eSignature
TSP Application Service Providers
【認証局、タイムスタンプ局など】
TSP Certs
TSSP
SGSP
SVSP
Registerd eMail
Data Preservation
Signature Creation & Validation
【高度署名(長期署名)】
CAdES
XAdES
PAdES
Signature Cration & other related
【署名デバイス】
Devices
SSCD
2015/4/10
ASiC
・・・
Cryptographic Suites
【暗号アルゴリズム】
Other SCDs
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
6
④トラストサービス(一覧)
No.
トラストサービス
No.
トラストサービス
1
適格証明書生成サービス
14
署名ポリシー発行運用サービス
2
非適格証明書生成サービス
15
国家ルート認証局サービス
3
タイムスタンプ生成サービス
16
記録保管サービス
4
適格タイムスタンプ生成サービス
17
書留電子メールサービス
5
適格署名に対するタイムスタンプ生成サービス
(適格証明書生成の一部)
18
電子配送サービス
19
適格電子配送サービス
20
電子署名保管サービス
21
適格電子署名保管サービス
22
アイデンティティ検証サービス
23
鍵預託サービス
24
PIN/パスワードベース身分証明発行サービス
25
トラストリスト発行サービス
26
未定義のトラストサービス
6
適格署名に対するタイムスタンプ生成サービス
7
CRL発行サービス
8
適格証明書のCRL発行サービス
9
OCSP発行サービス
10
適格証明書のOCSP発行サービス
11
RAサービス
12
非PKIベースのRAサービス
13
属性証明書生成サービス
ETSI TS 119 612 V1.2.1(2014-04) 5.1.1 サービスタイプより抜粋
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
7
2.トラストリストの解説
2-1.トラストリストとは
2-2.トラストリストの活用事例
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
8
2-1.トラストリストとは
①EUトラストリストの概要
②EUトラストリスト(PDF/XML)
③EUトラストリストの構成
④EUトラストリストにおけるスキーム
⑤EUトラストリストの特徴
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
9
①EUトラストリストの概要
1.トラストリストは、以下について記したもの
・トラストサービスのためのルール
・ルールに基づいてサービスを提供するプロバイダ
・そのプロバイダの提供サービスとステータス
まとめて
「スキーム」
と呼びます
2.トラストリストは、国単位で設けられている。(各国で制定)
欧州経済地域(EEA): EU 28ヶ国+EFTA加盟国 3ヶ国
3.規格
・ETSI TS 119 612 (V1.2.1)
トラストリスト規格(フォーマットを定義)
・ETSI TS 119 403 (V2.1.1)
TSP適合評価 一般要求事項およびガイダンス
(TSPを監査する側に対する要求・監査者の心得・力量等)
・etc.
ETSI TS 119 403 V1.1.1 (2012-03) から抜粋
順次 EN 規格に移行中
2015/4/10
トラストサービスプロバイダに対する評価モデル
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page 10
②EUトラストリスト(PDF)
BG:ブルガリアのトラストリスト(PDF)
http://www.polysys.eu/tledit/Download/より抜粋
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
11
②EUトラストリスト(XML)
BG:ブルガリアのトラストリスト(XML)
http://www.polysys.eu/tledit/Download/より抜粋
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
12
②EUトラストリスト(XML)
UK:イギリスのトラストリスト(XML)
http://www.polysys.eu/tledit/Download/より抜粋
2015/4/10現在
イギリスのTLは期限切れのまま
(通常:次回更新は6カ月後)
イギリスのTSPは0件 (フランス:TSP: 16件 TS: 98件)
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
13
③EUトラストリストの構成
トラストリストは、主に以下の3つのパートからなる。
Scheme information
(スキーム情報部)
・TLの識別情報(ID,タイプ,バージョン等)
・TLの管理責任者に関する情報
・その国のスキームに関する情報
・その国が定めるトラストサービスに
・TLによる履歴の保持期間
関するスキームの表明
・発行日および次期発行日
・TL配布点
・プロバイダ情報
(名称、所在地、連絡先、情報公開先URL)
TSP information
(TSP情報部)
・サービスプロバイダの情報
・提供サービス情報
・提供サービス情報
・提供サービス情報
・その提供サービスの情報
・サービスタイプ
・サービスタイプ
・サービスタイプ
・サービス毎の認可ステータス
・サービス名、デジタルID
・サービス名、デジタルID
・サービス名、デジタルID
・認証認可ステータス情報
・認可の履歴情報
・認証認可ステータス情報
・認証認可ステータス情報
・サービス定義先URI
・サービス定義先URI
・サービス定義先URI
Signature(署名部)
2015/4/10
・その国のトラストリスト管理責任者
・XAdES-BESまたはEPES
(スキームオペレータ)による署名
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
14
④EUトラストリストにおけるスキーム
EUトラストリストにおけるスキームを構成する要素
◆提供するサービスの種類
- 提供するサービスの格付けの表明
- 上記格付けの、ETSI標準(QC/PKC等)との対応関係
◆基づく当該国の法律についての表明
◆審査認定機関についての規定
◆告知機関についての規定
◆認定認可手続きに関する規定
◆トラストリスト公開先URL
など
◆スキームオペレータ(上記スキームの管理責任者)
特にトラストリストのスキームオペレータをTLSOと呼ぶ
法律と運用と技術規格の整合性が取られている
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
15
④EUトラストリストにおけるスキーム
スキーム記述(フランスTLから)
公共活動近代化事務局(SGMAP)
TSL Scheme Information
行政手続きの合理化・公共データの共有化がミッション
Scheme Operator Name:
General Secretariat for the Modernisation of Public Action
Scheme Name:
FR:Supervision/Accreditation Status List of certification services from
Certification Service Providers, which are supervised/accredited by
the referenced Scheme Operator’s Member State for compliance with
the relevant provisions laid down in Directive 1999/93/EC of the
European Parliament and of the Council of 13 December 1999 on a
Community framework for electronic signatures.
Scheme Information URI:
この部分は
http://references.modernisation.gouv.fr/en
「お決まり。」
ここにその国のスキームが
掲載されている
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
16
⑤EUトラストリストの特徴
●相互運用のための機構
・TSLタイプ(各国のトラストリストを各社の検証アプリ共通的
にハンドリングするための識別情報)
※CC: 国名を示す2文字コード
EU共通:
非EU国/組織:
http://uri.etsi.org/TrstSvc/TrustedList/TSLType/EUgeneric
http://uri.etsi.org/TrstSvc/TrustedList/TSLType/CClist
・スキームタイプ/コミュニティ/ルール(相互運用の範囲)
EU共通:
EU各国:
http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon
http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC
・他のTLへのポインタ(相互運用国のリストのポインタ.
EU加盟国の場合はここへLOTLを適用し、
メンテ負担を集約&軽減)
公開先:
TSLタイプ:
コミュニティ:
2015/4/10
https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml
http://uri.etsi.org/TrstSvc/TrustedList/TSLType/EUlistofthelists
http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUlistofthelists
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
17
⑤EUトラストリストの特徴
●リストオブトラストリスト(LOTL)
各国のトラストリストへのポインタおよび識別情報(トラストリストへの署名
証明書)が記載されたトラストリストの上位リスト
Official Journal of
the European Union
EU官報
LOTL
署名証明書のハッシュ値
&
LOTL取得先のSSL証明書のハッシュ値
EU
各国のTLのリンクおよび署名証明書
AT
各国TL
FI
BE
FR
MT
TSPs
CA/QC
BG
HR
CY
HV
NL
CA/PKC
TSA
CZ
IE
NO
DE
IS
PL
TSA/QTST
DK
IT
PT
LI
RO
CRL
EE
EL
LT
SE
CRL/QC
ES
LU
SI
LV
SK
UK
・・・
LOTLを安全に取得・検証することで
リンクされる各国TLを安全に検証することができる
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
18
⑤EUトラストリストの特徴
●リストオブトラストリスト(LOTL)のトラストアンカー
・Official Journal of the European Union(EU官報)に掲載される
European Commissionの署名証明書のハッシュ値リスト
http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1427848559233&uri=CELEX:52015XC0321(03)
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
19
⑤EUトラストリストの特徴
●TSPの提供するサービスのステータス記述
・認定取得前から掲載
・廃業/停止したサービスも掲載
・ステータス認定履歴情報部で前ステータスも確認可
・移管先情報も記載可で廃業や移管にも対応
スタート
管理監督中状態
(Under Supervision)
休止中サービス
管理監督中状態
適格認定済状態
(Accredited)
2015/4/10
(Supervision in cessation)
適格認定停止状態
管理監督停止状態
(Accreditation ceased)
(Supervision ceased)
適格認定失効状態
管理監督失効状態
(Accreditation revoked)
(Supervision revoked)
ETSI TS 119 612 V1.2.1 (2014-04) から
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
20
2-2.トラストリストの活用事例
Adobe Reader XI(V11.0.10)における実装事例
デジタルIDと信頼済み証明書の設定
環境設定>信頼性管理マネージャー
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
21
3.日本における信頼基盤として
のトラストリストの可能性
3-1.証明書検証の現状
3-2.トラストリスト導入によるBefore/After
3-3.トラストリストのもたらす効果(可能性)
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
22
3-1.証明書検証の現状
証明書リストを信頼する仕組みの現状は?
PKI対応アプリが提供する証明書リストを信用している
→アプリ提供者が定める証明書登録基準を信頼している
(例)マイクロソフトの「ルート証明書プログラム」より
[https://technet.microsoft.com/ja-jp/library/cc751157.aspx]
・WebTrust (CA/Browser Forumでガイドラインを策定)
・ETSI TS 101 456 v1.2.1 またはそれ以降
・ETSI TS 102 042 v1.2.1 またはそれ以降
・政府CA (WebTrust For CAs, ETSI TS 102 042, ETSI 101 456, ISO 21188
と同等であること)
どちらかというとブラウザで電子商取引を行う際の
電子証明書を利用したサーバ認証と通信の安全性確保や
コードサインによるアプリの発行元証明がメイン!
電子署名では有効に利用されていない!?
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
23
3-1.証明書検証の現状
個別PKI対応アプリに依存する証明書リストの課題
①信頼点がアプリ提供元(提供元企業に依存)
②相互運用性(アプリによって証明書リストが異なる)
③レベル合わせ(アプリによって検証レベルが違う)
④長期経過後(過去の時点の履歴がない)
⑤自動処理できない(更新方法がアプリに依存)
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
24
3-2.トラストリスト導入によるBefore/After
1.署名検証フローのBefore/After
手順
検証項目(概要)
Before
After
1
(署名証明書を利用して)
署名値の検証
(従来通り)
(従来通り)
2
署名証明書の検証
―
―
1
署名証明書からルート証明書
までの認証パスの検証
事前にアプリの証明書スト
アにルート証明書を登録
トラストリストにより自動化
(ルート証明書の識別)
2
認証パス上の各証明書の
失効確認(失効情報、有効期限)
(従来通り)
(従来通り)
(※)
ルート証明書のステータス確認
リポジトリおよび
官報を確認
トラストリストにより自動化
(ステータス・格付け確認)
3
(トラストアンカーとしての検証)
※:失効情報発行をCRL/OCSP/LDAPに関するTSPが行う場合はその検証も実施する
2
1
署名対象
文書
3
Before
アプリの
証明書ストア
署名データ
署名値
署名証明書
ルート証明書
認証局
リポジトリ
官報
トラストリスト
CRL/ARL
2015/4/10
After
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
25
3-2.トラストリスト導入によるBefore/After
2.タイムスタンプ検証フローのBefore/After
手順
検証項目(概要)
Before
After
1
文書ハッシュ値の検証
(従来通り)
(従来通り)
2
(TSA証明書を利用して)タイムスタンプ
(従来通り)
(従来通り)
TSA証明書の検証
―
―
1
TSA証明書からルート証明書
までの認証パスの検証
証明書ストアを信頼
(WebTrust)
トラストリストにより自動
化(ルート証明書の識別と
ステータス・格付け確認)
2
認証パス上の各証明書の
失効確認(失効情報、有効期限)
(従来通り)
(従来通り)
TSA局のステータス確認
認定センターのHPを確認
※TSA証明書との関係は
現状わからない
トラストリストにより自動
化(TSA証明書の識別とス
テータス・格付け確認)
トークンの署名値の検証
3
4
(トラストアンカーとしての検証)
1
Before
CRL/ARL
アプリの
証明書ストア
タイムスタンプトークン
文書ハッシュ値
対象
文書
TSA証明書
トラストリスト
2
2015/4/10
3
認証局
リポジトリ
TSA局
リポジトリ
ルート証明書
署名値
4
タイムビジネス
認定センター
官報
After
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
26
3-3.トラストリストのもたらす効果(可能性)
1. 現行の国内各種認証局サービス、タイムスタンプ
サービスの枠組みを再整理できる。
2. プロバイダ廃業後での、ユーザでの証明書/TST検
証の厳密性が向上する。
3. 諸外国(特にEU各国)との相互運用が可能になる。
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
27
3-3.トラストリストのもたらす効果(可能性)
1. 現行の国内各種認証局サービス、タイムスタンプサービスの
枠組みを再整理できる。
1
2
種別
根拠法・制度等
認定主体
GPKI
政府認証基盤(総務省)
官職CA
―
AppCA
WebTrust
地方公共団体組織認証基盤(総合行政ネット
ワーク運営協議会)
組織CA
―
AppCA
WebTrust
LGPKI
審査・監査機関
WebTrust審査機関
WebTrust審査機関
3
JPKI
電子署名に係る地方公共団体の認証業務に
関する法律(総務省)
―
4
認定認証業務
電子署名法(法務省・経産省・総務省)
主務大臣
5
タイムスタンプ
タイムビジネス認定センター(JADAC)
(時刻認証業務)
タイムビジネスに係る指針(総務省)
タイムビジネス信頼・安心認定制度(JADAC)
商業登記
商業登記に基づく電子認証制度(法務省)
―
6
電子署名・認証セン
ター(JIPDEC)
(電子認証登記所)
7
HPKI
保健医療福祉分野の公開鍵基盤(厚生省)
厚生省
8
その他
・電子署名法(法務省・経産省・総務省)
・WebTrust for CA
・ETSI
(特定認証業務等)
2015/4/10
準拠性監査報告書による
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
28
3-3.トラストリストのもたらす効果(可能性)
1. 現行の国内各種認証局サービス、タイムスタンプサービスの
枠組みを再整理できる。
JP官報
署名証明書のハッシュ値
&
TL取得先のSSL証明書のハッシュ値
官報
(独立行政法人国立印刷局)
JP
Scheme Information
TSLタイプ/法的表明/コミュニティ/認定認可手続/配布先 等
TSP Information
TL
CA/PKC
NationalRootCA-QC
NationalRootCA-QC
特定認証業務
商業登記
HPKI
CA/QC
CA/QC
認定認証業務
認定認証業務
TSA
TSA
時刻認証業務
時刻認証業務
NationalRootCA-QC
NationalRootCA-QC
NationalRootCA-QC
GPKI
LGPKI
JGPKI
Signature
TLSOの署名証明書による電子署名
・審査認定の国内共通化、EUとの共通化
・管理監督機関の国内一本化
・・・等々
2015/4/10
が実現できれば!!
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
29
3-3.トラストリストのもたらす効果(可能性)
2. プロバイダ廃業後での、ユーザでの証明書/TST検証の
厳密性が向上する。
長期署名フォーマット(CAdES/XAdES/PAdES)
トラストリスト(現在)
電子署名
署名証明書(30年前) 期限切れ
署名タイムスタンプ(30年前) 期限切れ
30年前の署名証明書発行元のルート証明書のステータ
ス・格付け履歴(認証局廃業)
検証情報(30年前) 期限切れ
(証明書群・失効情報群)
アーカイブタイムスタンプ(30年前) 期限切れ
30年前のTSAのステータス・格付け履歴(認証局廃業)
アーカイブタイムスタンプ(20年前) 期限切れ
20年前のTSAのステータス・格付け履歴(TSA局廃業)
アーカイブタイムスタンプ(10年前) 有効
10年前のTSAのステータス・格付け履歴(TSA局存続)
現在のTSAのステータス・格付け
長期署名フォーマット上は有効だけれども、
いくつか認証局もTSA局も既に廃業しているし、
過去の運用状況等、
本当に大丈夫だったのだろうか?
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
30
3-3.トラストリストのもたらす効果(可能性)
3. 諸外国(特にEU各国)との相互運用が可能になる。
・証明書リストがアプリに非依存
・検証レベル共通化へ
検証者および検証アプリ
検証&信頼
TL
JP
検証&信頼
トラストリストの
フォーマット・スキームの
相互互換性あり
TSP
EU
LOTL
TL
CA
TSA CA
TSA
AT
BE
ES
署名証明書 TSA証明書 タイムスタンプ
BG
FI
LI
CY
FR
LT
PT
日本とEU各国の
署名証明書・タイムスタンプの
信頼性のレベルは共通?
CZ
HR
LU
RO
DE
HV
LV
SE
DK
IE
MT
SI
EE
IS
NL
SK
EL
IT
NO
PL
UK
TSP
CA
TSA CA
TSA
署名証明書 TSA証明書 タイムスタンプ
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
31
4.まとめ
4-1.トラストリスト導入に向けた課題
4-2.最後に
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
32
4-1.トラストリスト導入に向けた課題
1.日本のトラストサービスに関するスキーム作り
・法制度化
-現行法での対応付けおよび新規の制定や改定
・認定制度/監査制度の枠組みの整理・統一
・トラストサービスの規定
-トラストサービスに含めるべき現行サービスの選定
-現行JIS規格との対応付けおよび新規の制定や改定
2.他国との相互運用のための、ETSI標準の精査
・現行TL仕様が、日本を含むEU圏外国との相互運用に
適用可能かを調査・検討.必要があればETSIへ提案.
3.トラストリストのインプリメンテーション
・TL試作評価実験
-署名/タイムスタンプの検証アプリへの組み込み実験
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
33
4-2.最後に
1.日本版トラストサービス・トラストリストの実現に向けて
・実現に向けては幾多のハードル(特に法制度・審査認定共通化・監督機関)
・幸い他団体でもトラストリストに関する活動が活発化
・ぜひ他団体と連携して進めていきたい
2.2015年度のJNSA 電子署名WGのテーマとして
eIDASやトラストリストに取り組んで参ります。
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会 Page
34
ご清聴ありがとうございました。
2015/4/10
Copyright (c) 2000-2015 NPO日本ネットワークセキュリティ協会
Author
Document
Category
Uncategorized
Views
0
File Size
3 095 KB
Tags
1/--pages
Report inappropriate content